ICANN将于2017年10月11日实施DNS根区密钥签名密钥(KSK)轮转,这将是KSK自2010年最初生成以来的首次变更。随着这一日期的临近,国内DNS系统在轮转前如何进行密钥更新以及轮转完成后DNS系统能否正常运行?这成为大家普遍关心的问题。现针对大量使用ZDNS T系列专用设备的客户,ZDNS就如何进行相关操作及可能的影响做出如下说明:
1、本次轮转完成后,仍会继续支持非DNSSEC的请求查询,绝大多数客户无须操作。
DNSSEC在我国还未广泛普及,现在国内绝大多数是非DNSSEC的常规解析,当前在国内使用ZDNS专用设备的用户也都基本属于此类。如果您当前在ZDNS设备上并未启用DNSSEC,则使用权威服务或递归服务时均无需进行密钥更新等任何操作,系统会继续使用原非DNSSEC方式进行解析查询和应答,不会对解析服务造成影响。
这是因为DNSSEC在设计之初,其校验与常规解析流程就是并存的。启用DNSSEC并满足校验条件即可完全通过DNSSEC保证信息的真实性和完整性,反之亦可通过常规的非DNSSEC方式完成服务,只是应答结果没有DNSSEC的验证保护,这也是当前国内普遍使用的实际情况。综合来看,本次KSK轮转主要影响启用DNSSEC验证的解析器,未使用DNSSEC的系统不受影响。
2、开启DNSSEC验证、查询的ZDNS设备无须版本升级,只要进行相关配置即可。
需要开启DNSSEC的ZDNS设备用户无须进行系统升级,只进行相关配置即可:使用ZDNS专用设备作为递归服务并需要开启DNSSEC时,需要配置新的KSK信任锚点。使用ZDNS设备作为权威服务与此次根区KSK轮转无关,无需任何变更。
为何要更新递归服务器?因为KSK轮转完成后,全球的互联网提供商和系统管理员如不更新相关配置,所有经域名系统安全扩展(DNSSEC)签名的请求将会因根KSK无法正确验证而导致其用户无法正常使用互联网。
背景说明
KSK轮转是一个重要的安全措施,KSK密钥与任何密码一样——始终保持加密密钥不变是不利的,根区KSK公钥和私钥也需要定期更改。KSK轮转主要影响启用DNSSEC验证的解析器,未使用DNSSEC的系统则不受影响。由于DNSSEC在国内还未广泛普及,目前国内主要通过常规解析流程提供DNS服务,所以KSK轮转对国内DNS服务影响不会很大,无需太过担心。
此次轮转是ICANN实施KSK轮转计划的关键步骤,KSK轮转拟定的时间表如下:
l 2016 年 10 月 27 日: 新 KSK 已生成,开始 KSK 轮转流程
l 2017 年 7 月 11 日: 在 DNS 中发布新 KSK
l 2017 年 9 月 19 日: 域名系统秘钥 (DNSKEY) 从根名称服务器上获得响应的规模扩大
2017 年 10 月 11 日: 新 KSK 开始对根区密钥组进行签名(实际轮转事件)
2018 年 1 月 11 日: 撤销旧 KSK
2018 年 3 月 22 日: 旧版 KSK 最后一次出现在根区
2018 年 8 月: 旧版秘钥从 ICANN 的两套秘钥管理设施中删除
对于使用非ZDNS专用设备进行DNS解析服务的,如不确定其是否支持最新KSK密钥,可参照以下步骤检查和处理:
1.如果DNS软件支持(rfc5011)自动更新DNSSEC信任锚点且已经配置,无需执行其它操作。
根据rfc5011规定:新的信任锚点发布后不会立即被信任,需要等待30天的(holddown)时间,才能被递归解析器信任。因为新的信任KSK已经在2017年3月发布至IANA网站,7月11日发布至根区, 有些系统可能已经自动更新。但需要注意:如果设备在KSK轮转期间脱机轮转完成后联机,必须手动更新。目前通用的DNS软件都支持rfc5011,常见的有bind9、Unbound、Knot DNS等。
2.如果DNS软件不支持(rfc5011)自动更新或未配置,需要在10月11日新的KSK签名之前,手动从IANA的官网https://data.iana.org/root-anchors/下载信任锚文件进行手动配置。
3.软件开发人员和验证解析器运营商可进行 ICANN 开发的运营测试,评估其系统是否恰当执行 RFC 5011 的要求及是否将在 KSK 轮转期间自动更新。
其它信息请参考官方资料:https://www.icann.org/resources/pages/ksk-rollover-2016-07-28-z
#resources)
1、本次轮转完成后,仍会继续支持非DNSSEC的请求查询,绝大多数客户无须操作。
DNSSEC在我国还未广泛普及,现在国内绝大多数是非DNSSEC的常规解析,当前在国内使用ZDNS专用设备的用户也都基本属于此类。如果您当前在ZDNS设备上并未启用DNSSEC,则使用权威服务或递归服务时均无需进行密钥更新等任何操作,系统会继续使用原非DNSSEC方式进行解析查询和应答,不会对解析服务造成影响。
这是因为DNSSEC在设计之初,其校验与常规解析流程就是并存的。启用DNSSEC并满足校验条件即可完全通过DNSSEC保证信息的真实性和完整性,反之亦可通过常规的非DNSSEC方式完成服务,只是应答结果没有DNSSEC的验证保护,这也是当前国内普遍使用的实际情况。综合来看,本次KSK轮转主要影响启用DNSSEC验证的解析器,未使用DNSSEC的系统不受影响。
2、开启DNSSEC验证、查询的ZDNS设备无须版本升级,只要进行相关配置即可。
需要开启DNSSEC的ZDNS设备用户无须进行系统升级,只进行相关配置即可:使用ZDNS专用设备作为递归服务并需要开启DNSSEC时,需要配置新的KSK信任锚点。使用ZDNS设备作为权威服务与此次根区KSK轮转无关,无需任何变更。
为何要更新递归服务器?因为KSK轮转完成后,全球的互联网提供商和系统管理员如不更新相关配置,所有经域名系统安全扩展(DNSSEC)签名的请求将会因根KSK无法正确验证而导致其用户无法正常使用互联网。
背景说明
KSK轮转是一个重要的安全措施,KSK密钥与任何密码一样——始终保持加密密钥不变是不利的,根区KSK公钥和私钥也需要定期更改。KSK轮转主要影响启用DNSSEC验证的解析器,未使用DNSSEC的系统则不受影响。由于DNSSEC在国内还未广泛普及,目前国内主要通过常规解析流程提供DNS服务,所以KSK轮转对国内DNS服务影响不会很大,无需太过担心。
此次轮转是ICANN实施KSK轮转计划的关键步骤,KSK轮转拟定的时间表如下:
l 2016 年 10 月 27 日: 新 KSK 已生成,开始 KSK 轮转流程
l 2017 年 7 月 11 日: 在 DNS 中发布新 KSK
l 2017 年 9 月 19 日: 域名系统秘钥 (DNSKEY) 从根名称服务器上获得响应的规模扩大
2017 年 10 月 11 日: 新 KSK 开始对根区密钥组进行签名(实际轮转事件)
2018 年 1 月 11 日: 撤销旧 KSK
2018 年 3 月 22 日: 旧版 KSK 最后一次出现在根区
2018 年 8 月: 旧版秘钥从 ICANN 的两套秘钥管理设施中删除
对于使用非ZDNS专用设备进行DNS解析服务的,如不确定其是否支持最新KSK密钥,可参照以下步骤检查和处理:
1.如果DNS软件支持(rfc5011)自动更新DNSSEC信任锚点且已经配置,无需执行其它操作。
根据rfc5011规定:新的信任锚点发布后不会立即被信任,需要等待30天的(holddown)时间,才能被递归解析器信任。因为新的信任KSK已经在2017年3月发布至IANA网站,7月11日发布至根区, 有些系统可能已经自动更新。但需要注意:如果设备在KSK轮转期间脱机轮转完成后联机,必须手动更新。目前通用的DNS软件都支持rfc5011,常见的有bind9、Unbound、Knot DNS等。
2.如果DNS软件不支持(rfc5011)自动更新或未配置,需要在10月11日新的KSK签名之前,手动从IANA的官网https://data.iana.org/root-anchors/下载信任锚文件进行手动配置。
3.软件开发人员和验证解析器运营商可进行 ICANN 开发的运营测试,评估其系统是否恰当执行 RFC 5011 的要求及是否将在 KSK 轮转期间自动更新。
其它信息请参考官方资料:https://www.icann.org/resources/pages/ksk-rollover-2016-07-28-z
#resources)
